Les Bug Bounty payent-ils bien ?
Pour ceux qui sont du domaine de la sécurité informatique, il n’est pas rare que les bug Bounty, encore appelés les primes de bug vous tentent un de ses jours.
En effet, la somme d’argent proposé pour servir de ce programme sont notamment alléchantes. Et certains y voient littéralement un moyen de gagner leur vie. Seulement à cause des gains, et aussi pour la liberté qu’offre ce milieu professionnel assez particulier.
Cet article va aussi vous intéresser : Le réseau social Facebook va étendre les capacités de son programme de bug bounty
Si aujourd’hui cela est devenue une activité courante voir quelque chose d’assez banale, il faut néanmoins noter qu’il y a quelques années de cela, signaler une faille de sécurité ou même un simple bug pouvant toucher le système d’information d’une administration était susceptible de conduire l’individu en prison. À la clé des découvertes de bugs il y a souvent des ennuis. Brice Augras et Christophe Hauquiert, des chercheurs notaient à ce propos : « Ça prenait du temps, c’était compliqué et souvent, on n’était pas tenu au courant des correctifs ou de ce qu’il se passait après notre signalement. Et parfois, on se heurtait à un mur, avec des sous-entendus qui laissaient entendre qu’on risquait de se frotter aux avocats de la société en question. Et ça, sans même parler d’éventuelles récompenses. » pareil du côté de Yann Cam : « la sécurité informatique m’intéresse depuis mes 11 ans globalement. Ça m’arrivait de repérer des vulnérabilités, mais quand on les faisait remonter, on se faisait souvent très mal accueillir. Ça a pu me refroidir à une certaine période ».
Mais depuis lors, le bug Bounty se sont démocratiser. Ils sont devenus une pratique assez courante voire nécessaire lorsqu’une entreprise du domaine de la Tech veut lancer un nouveau produit, et s’assurer que sa clientèle aura toute confiance en ce dernier. Les entreprises en ont fait, non seulement le moyen de pouvoir s’assurer une meilleure sécurisation de leurs produits, mais aussi une stratégie marketing pour démontrer qu’elle met tout en œuvre pour s’assurer de produire des outils sûrs. Dans de tel contexte, certaines entreprises en se sont pas organisées pour fournir à ces entreprises de la Tech, un contact facile avec de potentiel hacker pour le développement de cette pratique qui est devenue presque symbolique. Ces entreprises créent une cadre professionnelle ou des spécialistes de la cybersécurité de manière libre, met à disposition leurs compétences service des entreprises contre des primes ou des rémunérations stables. On peut citer entre autres l’entreprise américaine célèbre dans le milieu HackerOne et l’entreprise française, YesWeHack.
Le travail est organisé de sorte à permettent aussi sa liste de la sécurité souvent appelé chasseurs de bug ou encore Hackers éthiques d’explorer des systèmes d’information dans le but des cellules généralités contre les défaillances techniques non de découverte. Ce sont des activités légalement encadrer car les entreprises ont tendance à les mentionner dans leur bilan annuel. Ce qui bien sûr elle et nature à attirer chaque fois encore plus de potentiels intéressés « On est parvenu à récolter 100 000 dollars de récompense sur un bug affectant la plateforme Kubernetes », détaillait par exemple Brice Augras et Christophe Hauquiert, deux chercheurs en sécurité qui officient sur HackerOne et Yogosha. Si les sommes d’argent souvent proposé attire, car alléchantes, il faut signifier que le travail à abattre est assez conséquent : « c’est le résultat d’un travail de 6 mois à deux personnes. Maintenant, un chercheur en haut du classement qui y consacre du temps peut facilement dégager entre 2 000 et 3 000 euros par mois ».
De la sorte, si les montants proposés peuvent avoir l’air assez important, pour la plupart des chasseurs de bugs tels que Brice Augras et Christophe Hauquiert c’est plutôt une activité annexe. « On se fait parfois des week-ends ou des nuits pour travailler sur certains programmes, mais c’est compliqué d’en faire une activité à plein temps. Les revenus sont irréguliers, et c’est quelque chose d’assez stressant. », et c’est pareil pour Yann Cam, pentester et lead auditor pour une société spécialisée en sécurité informatique « J’ai beaucoup de respect pour ceux qui essaient d’en vivre, mais il y a un manque de stabilité qui m’empêche de faire ça à plein temps. L’année dernière, j’ai dû faire remonter entre 300 et 400 bugs, mais c’est compliqué de trouver du temps pour travailler. On se retrouve souvent à bosser de nuit ou pendant nos pauses déjeuner », note-il. S’il faut ajouter la vie de famille, le rythme du travail, les exigences temporelles, ainsi que les frustrations de pouvoir rater de temps en temps certains prime, le travail ça devient ennuyeux voire peu intéressant professionnellement. « A mon sens, c’est vraiment important que les hunters fassent des pauses : je vois beaucoup de hunters qui se lancent, trouvent une vulnérabilité critique, se laissent prendre par la montée d’adrénaline et qui perdent un peu pied quand ils se retrouvent ensuite en difficulté », explique-t-il. C’est pour cette raison que la majorité des chercheurs voient les bugs Bounty comme des activités secondaires à faire durant les temps libres.
Cependant, malgré ce qui peut être décrit comme des inconvénients du métier, certains ont quand même décidé de l’adopter comme travaille à temps plein. Même s’ils sont minoritaires il existe bel bien certain qui voient les chasses de prime comme elle travaille à part entière. A l’instar de Anthony, connu sous le pseudonyme de Kuromatae, qui depuis deux ans fonctionne ainsi : « Ce qui m’a vraiment motivé, c’est la possibilité de pouvoir travailler entièrement à distance dans les conditions que je voulais. Mais aussi le fait que je ne m’y retrouvais pas trop dans le cadre de l’entreprise au niveau des sujets que j’abordais : le bug Bounty me permet de toucher à tout ». Explique ce dernier. « L’objectif que je me fixe, c’est d’être capable de générer un SMIC annuel au minimum. Au départ, j’étais dans une optique où je considérais problématique de ne pas avoir de rentrée d’argent pendant un mois. Mais au final, on arrive à mettre un peu de coter pour se constituer un matelas », continue t-il.
Accédez maintenant à un nombre illimité de mot de passe :